Kubernetes的五种安全试验
发布时间:2021-06-06 17:00:32 所属栏目:云计算 来源:互联网
导读:Kubernetes还不到6岁,但它已经是每个人最喜欢的容器编排程序了。云和基础设施监测公司Datadog发现Kubernetes主导着容器市场:大约45%的运行容器的Datadog客户使用Kubernetes。其他容器编排程序,如Marathon和Docker swarm已经退出。 Kubernetes在公有云上更
|
Kubernetes还不到6岁,但它已经是每个人最喜欢的容器编排程序了。云和基础设施监测公司Datadog发现Kubernetes主导着容器市场:“大约45%的运行容器的Datadog客户使用Kubernetes。”其他容器编排程序,如Marathon和Docker swarm已经退出。
Kubernetes在公有云上更受欢迎。例如,根据Datadog的统计,“大约80%在Azure中运行容器的Datadog客户现在都在使用Kubernetes”。在亚马逊网络服务(AWS)上,Datadog发现它的受欢迎程度在过去两年翻了一番,达到了45%。
人气越高危险就越大。Windows用户深知,一个程序越受欢迎,就越容易受到攻击。Kubernetes也是如此。如果你在使用它,你必须保护它。
但是这并不容易。
Kubernetes的管理组织Cloud Native Computing Foundation(CNCF)最近对Trail of Bits和Atredis合作伙伴进行安全审计。Bits的报告说,Kubernetes存在许多安全问题,这是因为Kubernetes的配置和部署并不简单,某些组件的默认设置容易让人混肴,同时缺少操作控制以及隐式设计的安全控制。”
由此可见,这真的不容易。
不过,我们必须尝试。这是我们如何保证Kubernetes安全的前五种方法。
1.确保容器本身安全
如果容器损坏,保护Kubernetes并没有任何好处。开源安全公司Snyk在2019年分析了10个最受欢迎的Docker镜像。他们发现所有映像都包含易受攻击的系统库。
正如VMware副总裁兼首席开源官Dirk Hohndel 在2019年开源领袖峰会上所说的那样:“容器打包格式类似于Windows中的.exe和macOS中的.dmg,基本上你可以发布一个包含所有依赖项的完整文件系统。由于您现在将这些依赖项包含在容器中,因此您必须关注这些二进制文件用途,产生方式以及相应的来源。“
简而言之,您必须先确定容器的内容是可信任的,然后再将其部署给Kubernetes进行管理。否则,您将遇到最常见的计算机问题之一:垃圾回收(GIGO)。因此,您别无选择,只能检查每个生产容器是否存在潜在的安全问题。
是的,很痛苦。从来没有人说过安全是容易的。
2.锁定容器的Linux内核
从本处开始只会越来越困难。除了确保容器是安全的以外,由于所有容器都运行在单个Linux内核上,因此确保该内核尽可能安全是有意义的。而且,推荐使用AppArmor或SELinux进行安全配置,保护内核。
但是,这些复杂的配置限制了用户控制,程序管理,文件访问和系统维护。他们将其作为Linux安全模块来执行,该模块在Linux上强加了强制性访问控制(MAC)体系结构。对于Linux的内置安全模型(除非明确禁止,否则允许一切),这是一种完全不同的安全方法(除非明确允许,否则限制一切)。
很多系统管理员都无法正确设置两者。更糟糕的是,如果您配置错误,那这就不仅仅是一个重新配置的过程。如果您配置不对,您的Linux系统将被冻结,而您将不得不重新进行调整。或者,您可能认为它的配置是正确的,但是实际上您的容器可能仍然会像以前一样受到攻击。
正确以及安全的配置需要操作人员的大量时间和专业知识。在AppArmor或SELinux保护的内核上运行应用程序可能会遇到困难。大多程序对底层操作系统采取了安全措施。这些受保护的内核不允许这样做。
如果这两种方法中的任何一种被证明是太麻烦了,那么您可以通过阻止内核自动加载内核模块来获得一些保护。例如,由于即使是非特权进程也可以强制加载一些与网络协议相关的内核模块,只需创建一个特定的网络套接字,就可以添加规则来阻止有问题的模块。您可以使用禁止的模块配置文件来执行此操作:
/etc/modprobe.d/kubernetes-blacklist.conf
文件中记得加入配置说明,例如:
#SCTP在大多数Kubernetes集群中不使用,并且也有漏洞。
不过,最好的方法还是安装AppArmor或SELinux。
 (编辑:南昌站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
